Des mots de passe complexes peuvent sécuriser nos comptes en ligne, mais les pirates peuvent toujours accéder à notre compte en utilisant des attaques par force brute et des techniques d’ingénierie sociale.
L’authentification à deux facteurs (2FA) entre dans l’équation comme mesure de sécurité supplémentaire. Comme les banques détiennent les données les plus sensibles, elles ont été les premières à mettre en place une authentification à deux facteurs. Depuis lors, un nombre croissant de plates-formes ont déployé le service, il est donc important d’utiliser ce niveau de protection supplémentaire pour assurer la sécurité de nos comptes.
Il existe cependant quelques arguments affirmant que l’authentification à deux facteurs n’offre peut-être pas vraiment un niveau de sécurité plus élevé.
Mythe 1 – La double authentification est une garantie contre la fraude
L’authentification à deux facteurs rend beaucoup plus difficile pour un pirate ou un voleur de s’introduire dans nos comptes en ligne. Même si nos informations de connexion ont été compromises, l’attaquant ne pourra pas accéder à notre compte. Il n’est ainsi pas possible d’accéder à notre compte avec uniquement notre nom d’utilisateur et notre mot de passe.
Un mot de passe à usage unique basé sur le temps (TOTP) sera envoyé à l’adresse e-mail ou au numéro de téléphone enregistré sur le compte. Le code que nous fournissons est alors vérifié dès que nous le saisissons dans l’interface. S’il est correct, il nous reconnaîtra en tant qu’utilisateur autorisé du compte.
Cependant, des outils spécifiques, y compris des logiciels utilisés pour voler des cookies de session, peuvent être utilisés pour récupérer des codes OTP. De même, si un pirate informatique a également pris le contrôle de notre messagerie et que nous l’utilisons pour recevoir des codes 2FA, il pourrait alors facilement accéder à d’autres services.
Il convient de noter que les contournements réussis de l’authentification à deux facteurs (2FA) sont relativement rares. Ceux qui réussissent impliquent généralement une erreur humaine ; par exemple, nous pouvons donner à un escroc le code d’accès temporaire lorsqu’il prétend en avoir besoin.
Si l’ingénierie sociale ne fonctionne pas, les pirates utilisent les failles de sécurité du système comme point d’entrée. Dans l’ensemble, l’authentification à deux facteurs a un couche supplémentaire qui augmente nettement la sécurisation de nos comptes. Il empêche les pirates de détruire des données, de manipuler des programmes, d’envoyer des spams ou de diffuser du code malveillant. Ce n’est pas infaillible, cependant.
Mythe 2 – Toutes les méthodes de double authentification sont identiques
Bien que les codes temporaires par SMS ou par e-mail soient les plus courants, l’authentification à deux facteurs peut également être utilisée d’autres manières. Certaines de ces techniques sont plus sûres que d’autres. Par exemple, les SMS ne sont pas une forme de communication cryptée. Il est ainsi préférable d’installer une application d’authentification tierce (comme Google Authenticator) et de la connecter à notre compte pour obtenir votre code temporaire via une connexion cryptée.
En d’autres termes, nous avons accès au code sur l’application d’authentification plutôt que depuis notre adresse e-mail ou notre numéro de téléphone enregistré, cela, que nous disposions de données cellulaires ou d’une connexion Internet.
Une autre option consiste à utiliser un appareil physique avec des codes cryptographiques via USB, Bluetooth ou Near Field Communication (NFC). L’utilisation d’une application d’authentification ou d’un jeton matériel de bonne réputation, au lieu de s’appuyer uniquement sur des codes basés sur SMS, offre une couche de sécurité supplémentaire.
Il crée un code unique basé sur le temps pour chaque tentative d’authentification. Le système vérifie alors que nous disposons de la clé de sécurité physique lorsque nous la saisissons. Plusieurs applications nous permettent également d’authentifier notre identité à l’aide de notre visage, de nos yeux ou de notre empreinte digitale. Par exemple, BitWarden, un gestionnaire de mots de passe sécurisé, permet aux utilisateurs iOS de se connecter à chaque fois avec FaceID au lieu du mot de passe principal.
Mythe 3 : l’authentification à deux facteurs est compliquée et prend du temps
Certaines personnes pensent que la double authentification est complexe à utiliser, mais il faut normalement moins d’une minute pour l’authentification avec ce mode de connexion. Le code est envoyé en quelques secondes et, comme il est sensible au temps, nous devons le saisir immédiatement.
Comparé à d’autres techniques, le 2FA basé sur SMS peut parfois être plus lent, mais cela ne prend que quelques secondes. Dans le pire des cas, si nous n’entrons pas le code à temps, nous devrons peut-être le redemander. Le renvoi peut prendre un certain temps, mais cela arrive rarement.
D’autres techniques, telles que la sécurité physique et les applications d’authentification, sont beaucoup plus rapides. Il pourrait même être plus pratique d’utiliser une authentification à deux facteurs que des mots de passe.
Pour conclure…
Actuellement presque toutes les principales plates-formes prennent en charge l’authentification à deux facteurs. Même les entreprises l’ont configuré sur leurs portails en ligne pour une sécurité maximale.
Certaines plates-formes plus anciennes ou moins sécurisées peuvent ne pas avoir d’authentification à deux facteurs, tandis que d’autres peuvent avoir des protections de sécurité alternatives. Google, Apple et Microsoft étendent les capacités de connexion sans mot de passe, car elles sont généralement considérées comme plus sécurisées que les mots de passe.
Portez-vous bien, soyez prudent et à bientôt !
📄 ARTICLE EN LIEN : Authentification sans mot de passe : une méthode bientôt courante sur le web?